runC容器逃逸漏洞预警（CVE-2024-21626）

2024-02-01

一、概要

近日，华为云关注到runC社区发布最新版本，当中修复了一处高危级别的容器逃逸漏洞（CVE-2024-21626）。由于内部文件描述符泄漏，攻击者可通过控制容器进程的工作目录，或命令路径，将其设置为文件描述符的父级目录下的路径，读写主机任意文件，实现容器逃逸。

runC是一个基于OCI标准实现的一个轻量级容器运行工具，是Docker、Containerd、K8s等容器软件的核心基础组件。华为云提醒使用runC的用户及时安排自检并做好安全加固。

参考链接：

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

1.0.0-rc93 <= runC ＜=  1.1.11

安全版本：

runC 1.1.12

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/opencontainers/runc/releases/tag/v1.1.12

官方缓解措施参考如下（实施前请评估对业务的影响）：

1. 设置容器的WORKDIR为/

2. 仅允许用户运行受信任的镜像

3. 不要运行exec

注：修复漏洞前请将资料备份，并进行充分测试。

华为云HSS企业版及以上版本应急漏洞扫描功能已支持runC容器逃逸漏洞检测，并能有效检测当前主机是否存在容器逃逸利用的风险；入侵检测告警功能已增加相关HIPS检测规则，当攻击者利用该漏洞进行容器逃逸时，可以产生相关告警。相关功能说明请参见https://support.huaweicloud.com/usermanual-hss2.0/hss_01_0412.html 。

注：Linux系统的Agent版本为3.2.9及以上版本时支持扫描应急漏洞。